Für die meisten Arbeitnehmer hängt die Produktivität von zwei grundlegenden Faktoren ab: der Möglichkeit, effektiv mit Kollegen, Partnern und Kunden zu kommunizieren, und der Möglichkeit, auf Ressourcen und Systeme zuzugreifen.
Auf der Kommunikationsseite haben Telefon- und Videokonferenztechnologien deutliche Fortschritte gemacht. Zoom, Cisco, Google und Microsoft bieten kostengünstige, cloudbasierte Tools an, die eine effektive Kommunikation für Meetings mit mehreren Teilnehmern, eine konstante Videoübertragung, eine gemeinsame Bildschirmansicht und sogar White-Boards erlauben.
Gleichzeitig müssen Mitarbeiter und Mitarbeiterinnen auf Computersysteme, Dateien und Daten zugreifen können. Gerade bei traditionell aufgestellten Unternehmen gibt es Systeme auf die täglich zugegriffen wird, beispielsweise bei den Gehaltsabrechnungen, in der Produktion oder im Back-Office.
Um ein Netzwerk vorübergehend auf Computer, Laptops und Telefone auszuweiten, nutzen Unternehmen vielfach die etablierte Technologie der Virtual Private Networks (VPNs). Grundsätzlich ein effektives Tool für die Remote-Arbeit. Die meisten Unternehmen haben dabei aber wohl nicht an ein Szenario wie das aktuelle gedacht: Ein großer, wenn nicht sogar der überwiegende Teil der Belegschaft versucht, sich mit dem VPN zu verbinden und gleichzeitig auf unterschiedliche interne Systeme zuzugreifen. In den meisten Unternehmen arbeitet unter normalen Bedingungen nur ein kleiner Teil der Mitarbeiter gleichzeitig remote – nehmen wir an um die 5 %. Wenn, wie jetzt im Fall von Covid-19 Social Distancing das Mittel der Wahl ist, müssen quasi 100 % der Beschäftigten innerhalb weniger Tage auf dieses Arbeitsmodell umsteigen.
Jetzt gilt es, die Kapazitäten zu analysieren und die Auslastung zu priorisieren: Wie viel Bandbreite soll jeder Mitarbeiter zur Verfügung haben, welche Formen der Zugriffskontrolle sollte man implementieren und so weiter. Nicht alle Funktionen sind gleich wichtig, wenn es um die Gewährleistung von Diensten geht. Das sollte man bei allen Überlegungen nicht außer Acht lassen. Nehmen wir beispielsweise die IT-Abteilung. Hier geht es vor allem darum, das Remote-Team konsequent und effektiv zu unterstützen. Die Verfügbarkeit zu gewährleisten und Ausfallsicherungen einzuziehen sollte oberste Priorität haben. Letztere helfen nicht zuletzt dabei, Fehler zu diagnostizieren.
Beispielsweise ist auch ein sekundäres, eigenes VPN für das IT-Personal keine schlechte Idee, falls die primären Kanäle ausfallen. IT-Mitarbeiter sollten sich remote einloggen und feststellen können, wo möglicherweise ein Fehler liegt. Dann ist nicht die ganze Belegschaft von einem Ausfall betroffen.
Viele Unternehmen testen derzeit ihre Optionen. Ich ermutige an dieser Stelle ausdrücklich dazu, in erster Linie Auslastung und Lizenzbeschränkungen zu analysieren.
Das hilft zu verstehen, wo genau das Team Unterstützung braucht und wo mandie verfügbare Hard- und Software erweitern muss, wenn nahezu alle Mitarbeiter gleichzeitig im System arbeiten. Im günstigsten Fall hat ein Unternehmen die Zeit für einen Probelauf, bevor das Worst-Case-Szenario eintritt. Ist das nicht gegeben, werden sich Probleme durch bisher unbekannte Engpässe kaum vermeiden lassen. Die Maßgabe: Planen für das Schlimmste und das Beste hoffen. Ein bereits praxiserprobter Plan ist leichter verständlich zu machen und durchzuführen, wenn der Ernstfall eintritt.
Remote Working: Grundprinzipien produktiver Fernarbeit
Die meisten Unternehmen erlauben Fernarbeit für einen (kleinen) Teil ihrer Belegschaft. Eine groß angelegte Umstellung auf Remote Working ist nicht nur hinsichtlich des Verfahrens problematisch, sondern vor allem in kultureller Hinsicht. Einige Mitarbeiter müssen auf Systeme zugreifen, die nur vor Ort vorhanden sind, während für andere die persönliche Kommunikation mit Kollegen, Partnern und Kunden essentiell ist. Bei Unternehmen, die sich frühzeitig für die Cloud entschieden haben, ist die Mehrheit der Systeme nicht mehr an ein physisches Büro gebunden. Eher traditionelle Unternehmen und Branchen sind in hohem Maße auf Tools vor Ort oder im eigenen Rechenzentrum angewiesen. Firmen, die schon länger Erfahrungen mit Remote Working gemacht haben, werden feststellen, dass es ihren Mitarbeitern leichter fällt, komplett auf diese Arbeitsweise umzusteigen und sie dann auch erfahrener im Umgang mit den notwendigen Tools sind. Die Mitarbeiter sind vermutlich ohnehin besser ausgerüstet und – nicht ganz unwichtig – mit den Tücken der Fernarbeit vertrauter. Das wiederum wirkt sich positiv auf die Produktivität aus. Nicht zuletzt lassen sich Videokonferenzen wenigstens zu einem gewissen Teil dazu nutzen, soziale Interaktionen und kollegiale Zusammenarbeit aufrecht zu erhalten.
Die Nutzung eigener Geräte (BYOD) bringt allerdings für jede IT-Abteilung die bekannten Herausforderungen mit sich. Umso mehr, wenn Home Office für die meisten obligatorisch geworden ist. Die einzige Brücke ins Unternehmen führt über Laptop, Tablet oder Smartphone.
Wie wirken sich diese Veränderungen auf den Helpdesk aus? Wie wirksam sind die bisherigen Netzwerkkontrollen? Die meisten Unternehmen haben Sicherheits- und Überwachungsfunktionen anhand ihres Netzwerks aufgebaut. Das Problem dabei: Das VPN hält die gesamte Kommunikation. Das macht es ausgesprochen schwierig, die unterschiedlichen Aktivitäten aus der Netzwerkperspektive zu identifizieren. Selbst, wenn Firmen über ein separates Management der mobilen Endgeräte verfügen, wird es über die Entfernung wesentlich schwieriger, Geräte und Netzwerk abzusichern. Das kann IT- und Sicherheitsverantwortliche verunsichern. Bei der Sicherheitstopologie für Netzwerke ging es um die Trennung von innen und außen durch den IT-Perimeter. Wenn alle Mitarbeiter remote arbeiten, gehören jetzt Systeme zum Unternehmensnetz, die so wenig verwaltet sind, wie die privaten IT-Systeme jedes einzelnen Mitarbeiters.
Remote Working: Geschäftliche Kontinuität und Sicherheit
Ein nahezu 100-prozentiger Umstieg auf das Arbeiten vom Home Office aus, wirkt sich auf die Agilität von IT- und Sicherheitsabteilungen aus. Leider nutzen Cyberkriminelle globale Entwicklungen aus, um neue Angriffsvektoren in Stellung zu bringen. COVID-19 bildet da keine Ausnahme. Dabei wird nicht nur die Angriffsabwehr komplexer. Treten Probleme mit einem Gerät auf, kann der Mitarbeiter seinen Laptop nicht einfach der IT-Abteilung übergeben und ein Austauschgerät entgegennehmen oder in einem akzeptablen Zeitrahmen zugeschickt bekommen. Auch eine Überflutung des Supports mit Anfragen birgt viele Risiken. Zunächst muss der Basisbetrieb gewährleistet und die Prioritäten entsprechend gesetzt werden. Im besten Fall verfügt ein Unternehmen über einen lokalen Bestand an konfigurierten Computern, die im Fall des Falles problemlos verschickt werden können.
Gleichzeitig sollte man soweit als möglich sicherstellen, dass Benutzer keine Schadsoftware installieren oder unnötig riskante Aktionen durchführen. Am besten verwendet man eine Lösung, die vom Endpunkt statt vom Netzwerk aus überwacht und die sich nicht auf die Netzwerkaktivitäten beschränkt.
Remote Working – die neue Normalität
Darüber sind sich wohl alle einig: Die neue Normalität bringt jede Menge Herausforderungen mit sich, sowohl in Bezug auf die Prozesse als auch auf die Kultur der Arbeit. Für IT-Abteilungen liegt in der Krise aber auch eine Chance. Nicht zuletzt kann die IT zeigen, wie schnell sich eine Umgebung an völlig veränderte Rahmenbedingungen anpassen kann. Sicherheit im gewohnten Maße gehört dabei nicht zu den geringsten Herausforderungen. Unternehmen sollten nicht zögern, jetzt Pläne zu entwerfen, wie sie die unternehmerische Kontinuität wahren können und mögliche Szenarien zeitnah durchspielen.
Yonathan Striem-Amit, CTO-Co-Founder, Cybereason, www.cybereason.com